لماذا السياسة السيبرانية الواضحة مهمة للشركات؟

في تشرين الأول (أكتوبر)، أدين جو سوليفان، رئيس قسم الأمن السابق في شركة أوبر، بالتستر على خرق للبيانات 2016 في شركة نقل الركاب العملاقة، بإخفاء تفاصيل عن الجهات التنظيمية الأمريكية وبدفع مال لجماعة من القراصنة.
كانت محاكمة تابعها بقلق متخصصو الأمن السيبراني حول العالم - وجاءت بعد ثمانية أعوام من حادثة اختراق المعلومات الشخصية لأكثر من 57 مليون شخص.
تشير ماري بوثوس، كبيرة مسؤولي الخصوصية في شركة السفر الرقمي Booking.com، إلى أن "أي أخبار عن شركة أخرى تتعامل مع حادثة تتعلق بأمن البيانات يمكن أن تثير بعض الخوف عبر الصناعات"، مضيفة أن هذه الحوادث تجعل "عديدا من الشركات تتوقف مؤقتا، أو تعيد التفكير، أو النظر في عملياتها الداخلية للتأكد من أنها تعمل بشكل فعال".
هذه الحوادث والمخاطر تنمو بسرعة البرق. الآن الحرب في أوكرانيا تدور في الفضاء السيبراني بقدر ما تدور في ساحة المعركة. وأجبرت جائحة كوفيد الشركات على إعادة التفكير في مكان عمل موظفيها والتعامل مع البيانات أو الوصول إليها. في الوقت نفسه، يتضاعف العدد الهائل للأجهزة المتصلة بالإنترنت.
فيكتور شادار، رئيس قسم الأمن السيبراني في شركة كوندي ناست الإعلامية، قال لـ"فاينانشيال تايمز" في مناسبة حول الأمن السيبراني: "ينبغي أن نكون أشخاصا قادرين على التنبؤ بما سيأتي على طول الطريق، وتوقع المستقبل".
وجدت شركة بالو ألتو الأمنية المتخصصة، أن الابتزاز الإلكتروني نما بسرعة في 2021. وظهر نحو 35 عصابة جديدة لبرامج الفدية الإلكترونية، وزاد متوسط طلب الفدية 144 في المائة في ذلك العام إلى 2.2 مليون دولار، وارتفع متوسط المدفوعات 78 في المائة إلى 541010 دولار.
في غضون ذلك، وجد موظفو الأمن السيبراني أنفسهم محاصرين باللوائح التنظيمية المرهقة بشكل متزايد. تشمل هذه اللوائح اتخاذ إجراءات قانونية إذا لم يتم إبلاغ الأشخاص المختصين بالانتهاكات، أو إذا ظهرت منتجات غير آمنة بما فيه الكفاية في السوق. مثلا في 15 سبتمبر اقترحت المفوضية الأوروبية قانونا جديدا للمرونة الإلكترونية لحماية المستهلكين من المنتجات ذات الخصائص الأمنية غير الكافية.
قال كيفين تيرني، نائب رئيس الأمن السيبراني العالمي في مجموعة جنرال موتورز للسيارات: "لقد ظهرت مجالات جديدة للأمن على مدى الأعوام الماضية، لذا لم تعد مجرد مشكلة في تكنولوجيا المعلومات، إنها بالفعل مسألة خطر للشركة بكاملها". وحذر من أن المركبات الآلية والمتصلة بالشبكة قد ألقت تهديدات إضافية تجب معالجتها.
أضاف: "عليك أن تبدأ بهيكل الحوكمة الصحيح والسياسات والإجراءات الصحيحة - هذه هي الخطوة الأولى لجعل الشركة تفهم حقا ما يتعين عليها فعله".
تشمل هذه السياسات قواعد وإجراءات واضحة حول كيفية تعطيل الوصول إلى المعدات التكنولوجية، وحماية البيانات وتخزينها، ونقلها والتخلص منها، واستخدام شبكات الشركات، والإبلاغ عن أي انتهاكات للبيانات.
يميل خبراء الأمن أيضا إلى الاتفاق على ضرورة وجود أنظمة قوية للحوكمة والمساءلة، لمنع هذا النوع من المشكلات التي حلت بسوليفان في شركة أوبر.
وربما كان الأهم من ذلك كله، أن الموظفين في جميع أنحاء المؤسسة، من المديرين التنفيذيين إلى المساعدين، يجب أن تكون لديهم معرفة بكيفية اكتشاف وإدارة أي تهديد.
وجدت أبحاث أجرتها شركة كرول لتوفير حلول المخاطر في 2018 أن 88 في المائة من خروقات البيانات كانت ناجمة عن أخطاء بشرية - وأكثرها شيوعا كانت إرسال بيانات حساسة إلى الشخص أو الجهة الخطأ، وضياع أو سرقة الأوراق، ونسيان تنقيح البيانات، وتخزين المعلومات في مكان غير آمن.
لكن بحثا آخر أجرته شركة إي واي للمحاسبة في 2018- 2019، وجد أن الموظفين المهملين وغير المدركين هم أكبر مصدر قلق أمني للشركات.
أعرب شادار عن اعتقاده بأن برامج ووحدات التوعية المتحركة والتفاعلية يمكن أن تساعد. قال: "التدريب على الوعي من خلال المحاضرات لا يصيب الهدف حقا، لأن الناس لا ينخرطون".
استخدام الألعاب- تطبيق ميكانيكا الألعاب على تدريب الموظفين- أثبت أيضا أنه وسيلة فعالة لتقديم التدريب. وجد بحث أجرته جامعة أوريبرو في السويد أنه يمكن أن يحسن دافع الموظفين واستعدادهم للامتثال.
أضاف شادار أن التدريب يجب أن يستهدف أدوارا محددة داخل المؤسسة، من الموارد البشرية إلى الهندسة، بحيث يكون له صلة بالمهام اليومية.
كذلك يتعين على أفراد أمن المعلومات إبلاغ المديرين التنفيذيين وأعضاء مجلس الإدارة بطبيعة المخاطر والتهديدات، لأنهم يستطيعون ضمان نشر الرسالة في جميع أنحاء المؤسسة، وتمويل الجهود لتعزيز الدفاعات.
"يتحكم مجلس الإدارة في سلاسل النقود، ويتحكم في السرد، وفي اتجاه المؤسسة،" كما قال شادار.
تيرني يوافق على ذلك. قال: "إنها عملية تعليمية حقا لكل موظف، بمن فيهم القيادة العليا ومجلس الإدارة".
وعندما يتعلق الأمر بالمؤسسات الكبيرة التي لديها سلاسل توريد معقدة - وتعمل مع كثير من المقاولين والمشترين المختلفين - من المهم أيضا أن يتم تمرير الممارسات والسياسات الأمنية على طول السلاسل.
بحسب شادار، أحد الأساليب التي يمكن أن تتبعها الشركات الكبرى هو طلب أدلة من مورديها وبائعي بوليصات الأمن على السياسات الأمنية التي يطبقونها وعلى البرامج التدريبية لموظفيهم. ويمكنهم أيضا مشاركة بعض مواردهم وبرامجهم التدريبية.
من جانبه، أكد تيرني أهمية التعاون، قال: "إننا نعمل مع عشرات الآلاف من الموردين عبر سلاسل التوريد الخاصة بنا (...) ليس لدى كثير من هذه الشركات الموارد اللازمة لامتلاك برامج أمان كبيرة. إنه تحد". أضاف: "الحلقة الأضعف ستسبب مشكلة، لذا علينا العمل معا".